Onbekende supercharger sessie in overzicht

[Huub35]

Keek vandaag weer eens in mijn account (wilde checken hoe lang ik nog premium connectivity heb), en ontdekte iets raars in mijn lijst van supercharging sessions. Volgens die lijst heb ik vorige week in Zwolle aan de SuC geladen.

Dat is interessant:
- de auto stond de hele tijd in het zicht, voor onze voordeur (corona -> dus thuiswerken)
- ik woon ca 100 km van Zwolle vandaan, ik zou niet eens weten waar die SuC is, ben er zeker nog nooit geweest
- sinds wij een thuispaal hebben, heb ik nog 2-3 keer aan een SuC gestaan voor specifieke redenen, laatste keer ergens begin maart toen mijn meterkast onder water stond (ander verhaal)

Na wat flauwe grappen over het "vriendje van mijn vrouw", neem ik het toch wel iets serieuzer. Hoe kan het zijn dat er een charging session staat, waar ik nog niet eens in de buurt van de SuC ben geweest?

Ik kan me eigenlijk niet voorstellen dat dit iets met mijn account te maken heeft. Allereerst geloof ik niet dat het gehacked is, maar bovendien neem ik aan dat een SuC session ook het voertuig zelf identificeert, en niet alleen de account.

Heeft iemand al een keer iets vergelijkbaars meegemaakt?

Huub

 

[Huub35]

Even een korte update inzake foute SuC afrekeningen.

Het is ondertussen een 4 weken geleden dat ik hiervan melding heb gemaakt bij Tesla. Via het officiele email adres (accounts emea) nul reactie. Dan maar via de Store in Eindhoven, en daar is iemand wel druk in de weer gegaan om te helpen (Dank!), maar helaas tot aan vandaag zonder oplossing. Ondertussen waren er 3 SuC bezoekjes in Zwolle geweest.

Wel is duidelijk wat de oorzaak is. Om de een of andere reden is mijn account ook gekoppeld aan een auto van iemand anders. Dat is de info die ik afgelopen weekeinde dan wel van Tesla kreeg. Omdat deze persoon bij dezelfde LM zit weet ik niet waar de fout is ontstaan, kan bij Tesla of bij de LM zijn, maar het is wel duidelijk dat Tesla het moet oplossen.

Wat nu wel interessant is dat ik in mijn app die andere auto ook zie, en zelfs kan besturen. Ik zou er zo naar toe kunnen rijden, openen en leeg halen (weg rijden kan dan weer niet waarschijnlijk zonder dat de telefoon gekoppeld is als sleutel, hoewel?).

Ook verrassend en schokkend hoe makkelijk het is om iemand te achterhalen vanuit de gegevens van de app. Omdat ik de betreffende eigenaar op de hoogte wilde brengen van de situatie, heb ik met 1 google search telefoonnummer kunnen verzamelen (adres had ik al vanuit de app, gewoon waar 's avonds geladen wordt), maar als ik kwaadwillend was geweest had ik nog veel verder kunnen gaan.

Ondertussen met die andere eigenaar gesproken, en die bleek al 4 weken in de weer met Tesla omdat hij zijn auto maar niet op zijn App zichtbaar kreeg. Dat is nu dus ook verklaard.

In ieder geval is er een klacht naar de autoriteit persoonsgegevens in de maak (dit is een datalek, en mijn creditcard was ook aan mijn account gekoppeld). Is nog niet weg, laat ik even afhangen van de snelheid waarmee het nu gefixed wordt.

Maar voor iedereen, goed oppassen met je telefoon en de app, daar is voor kwaadwillenden meer uit te halen dan je zo denkt.

Huub

Keek vandaag weer eens in mijn account (wilde checken hoe lang ik nog premium connectivity heb), en ontdekte iets raars in mijn lijst van supercharging sessions. Volgens die lijst heb ik vorige week in Zwolle aan de SuC geladen.

Dat is interessant:
- de auto stond de hele tijd in het zicht, voor onze voordeur (corona -> dus thuiswerken)
- ik woon ca 100 km van Zwolle vandaan, ik zou niet eens weten waar die SuC is, ben er zeker nog nooit geweest
- sinds wij een thuispaal hebben, heb ik nog 2-3 keer aan een SuC gestaan voor specifieke redenen, laatste keer ergens begin maart toen mijn meterkast onder water stond (ander verhaal)

Na wat flauwe grappen over het "vriendje van mijn vrouw", neem ik het toch wel iets serieuzer. Hoe kan het zijn dat er een charging session staat, waar ik nog niet eens in de buurt van de SuC ben geweest?

Ik kan me eigenlijk niet voorstellen dat dit iets met mijn account te maken heeft. Allereerst geloof ik niet dat het gehacked is, maar bovendien neem ik aan dat een SuC session ook het voertuig zelf identificeert, en niet alleen de account.

Heeft iemand al een keer iets vergelijkbaars meegemaakt?

Huub

 

[Mars2020]

Even een korte update inzake foute SuC afrekeningen.

Het is ondertussen een 4 weken geleden dat ik hiervan melding heb gemaakt bij Tesla. Via het officiele email adres (accounts emea) nul reactie. Dan maar via de Store in Eindhoven, en daar is iemand wel druk in de weer gegaan om te helpen (Dank!), maar helaas tot aan vandaag zonder oplossing. Ondertussen waren er 3 SuC bezoekjes in Zwolle geweest.

Wel is duidelijk wat de oorzaak is. Om de een of andere reden is mijn account ook gekoppeld aan een auto van iemand anders. Dat is de info die ik afgelopen weekeinde dan wel van Tesla kreeg. Omdat deze persoon bij dezelfde LM zit weet ik niet waar de fout is ontstaan, kan bij Tesla of bij de LM zijn, maar het is wel duidelijk dat Tesla het moet oplossen.

Wat nu wel interessant is dat ik in mijn app die andere auto ook zie, en zelfs kan besturen. Ik zou er zo naar toe kunnen rijden, openen en leeg halen (weg rijden kan dan weer niet waarschijnlijk zonder dat de telefoon gekoppeld is als sleutel, hoewel?).

Ook verrassend en schokkend hoe makkelijk het is om iemand te achterhalen vanuit de gegevens van de app. Omdat ik de betreffende eigenaar op de hoogte wilde brengen van de situatie, heb ik met 1 google search telefoonnummer kunnen verzamelen (adres had ik al vanuit de app, gewoon waar 's avonds geladen wordt), maar als ik kwaadwillend was geweest had ik nog veel verder kunnen gaan.

Ondertussen met die andere eigenaar gesproken, en die bleek al 4 weken in de weer met Tesla omdat hij zijn auto maar niet op zijn App zichtbaar kreeg. Dat is nu dus ook verklaard.

In ieder geval is er een klacht naar de autoriteit persoonsgegevens in de maak (dit is een datalek, en mijn creditcard was ook aan mijn account gekoppeld). Is nog niet weg, laat ik even afhangen van de snelheid waarmee het nu gefixed wordt.

Maar voor iedereen, goed oppassen met je telefoon en de app, daar is voor kwaadwillenden meer uit te halen dan je zo denkt.

Huub

Nu ben jij er uiteindelijk achtergekomen dat de koppeling van het account niet klopt.
je kunt je afvragen of dit vaker voorkomt en misschien belangrijker nog hoe kun je zien wie er allemaal aan je account gekoppeld zijn en dus mogelijk toegang hebben tot al je gegevens.

 

[Huub35]

Inderdaad, die gedachte had ik ook al.

Maar het lijkt er wel op dat er steeds maar 1 account per auto mogelijk is. Die andere eigenaar kon helemaal niets zien, noch zijn eigen auto, noch de mijne. Dus als jij jouw auto ziet, zou deze niet voor iemand anders zichtbaar moeten zijn. Dat is althans de officiele lezing.

Maar helemaal gerust ben ik er ook niet op. Ik meen ook al een keer gelezen te hebben dat leasemaatschappijen kunnen meekijken met een deel van de data, dus dat maakt de boel al minder waterdicht.

Huub

Nu ben jij er uiteindelijk achtergekomen dat de koppeling van het account niet klopt.
je kunt je afvragen of dit vaker voorkomt en misschien belangrijker nog hoe kun je zien wie er allemaal aan je account gekoppeld zijn en dus mogelijk toegang hebben tot al je gegevens.

 

[Pascal-R]

Even een korte update inzake foute SuC afrekeningen.

Het is ondertussen een 4 weken geleden dat ik hiervan melding heb gemaakt bij Tesla. Via het officiele email adres (accounts emea) nul reactie. Dan maar via de Store in Eindhoven, en daar is iemand wel druk in de weer gegaan om te helpen (Dank!), maar helaas tot aan vandaag zonder oplossing. Ondertussen waren er 3 SuC bezoekjes in Zwolle geweest.

Wel is duidelijk wat de oorzaak is. Om de een of andere reden is mijn account ook gekoppeld aan een auto van iemand anders. Dat is de info die ik afgelopen weekeinde dan wel van Tesla kreeg. Omdat deze persoon bij dezelfde LM zit weet ik niet waar de fout is ontstaan, kan bij Tesla of bij de LM zijn, maar het is wel duidelijk dat Tesla het moet oplossen.

Wat nu wel interessant is dat ik in mijn app die andere auto ook zie, en zelfs kan besturen. Ik zou er zo naar toe kunnen rijden, openen en leeg halen (weg rijden kan dan weer niet waarschijnlijk zonder dat de telefoon gekoppeld is als sleutel, hoewel?).

Ook verrassend en schokkend hoe makkelijk het is om iemand te achterhalen vanuit de gegevens van de app. Omdat ik de betreffende eigenaar op de hoogte wilde brengen van de situatie, heb ik met 1 google search telefoonnummer kunnen verzamelen (adres had ik al vanuit de app, gewoon waar 's avonds geladen wordt), maar als ik kwaadwillend was geweest had ik nog veel verder kunnen gaan.

Ondertussen met die andere eigenaar gesproken, en die bleek al 4 weken in de weer met Tesla omdat hij zijn auto maar niet op zijn App zichtbaar kreeg. Dat is nu dus ook verklaard.

In ieder geval is er een klacht naar de autoriteit persoonsgegevens in de maak (dit is een datalek, en mijn creditcard was ook aan mijn account gekoppeld). Is nog niet weg, laat ik even afhangen van de snelheid waarmee het nu gefixed wordt.

Maar voor iedereen, goed oppassen met je telefoon en de app, daar is voor kwaadwillenden meer uit te halen dan je zo denkt.

Huub

Zorgelijk ook dat je zo veel moeite moet doen om in contact te komen. Ook nadat de enorme toestroom van model 3's ondertussen weer naar beter handelbare proporties is terug gegaan.

 

[ScoopT]

Inderdaad, die gedachte had ik ook al.

Maar het lijkt er wel op dat er steeds maar 1 account per auto mogelijk is. Die andere eigenaar kon helemaal niets zien, noch zijn eigen auto, noch de mijne. Dus als jij jouw auto ziet, zou deze niet voor iemand anders zichtbaar moeten zijn. Dat is althans de officiele lezing.

Volgens mij kan je meerdere accounts aan dezelfde auto laten koppelen voor b.v. je partner.

 

[horta]

@Huub35 Heel vervelend. Ik zou de melding datalek zeker doen, maar bereid je er op voor dat je daar nooit meer iets van hoort (dat is de procedure, geen onwil!) en in afschrift naar Tesla. Credit card maatschappij bellen en zeggen dat een ander ongewenst toegang heeft gehad tot je creditcard gegevens, dan krijg je vast en zeker een nieuwe cc uit voorzorg.

 

[Faiz71]

Datalek aangifte bij AP zeker doen. Al het feit dat jij die andere auto kunt besturen is al vrij ernstig (en vrij griezelig als kwaadwillende dit zouden kunnen). Tel daarbij op dat Tesla NL blinkt in afwezigheid om het probleem op te lossen. Misschien even via AP de boel in Tilburg wakkerschudden?

 

[jordy5]

Begreep dat het om lease-auto's gaat van dezelfde lease maatschappij. Auto eigendom ligt dus bij de LM en zij hebben de verkeerde persoon geautoriseerd waarschijnlijk. Hoe ligt hier dan de schuld bij Tesla en praten we dan over een datalek?

Wat heeft een datalek met Superchargers te maken?

 

[horta]

Dan is het nog steeds een datalek hoor, alleen bij de leasemaatschappij.
Wat het met superchargers te maken heeft? De verkeerde persoon betaalt voor het superchargen...

 

[wooter]

Dit is natuurlijk wel een ernstig probleem, beide voor Tesla en de leasemaatschappij, maar is niet zo relevant voor het topic "superchargers in Nederland." Eerder geschikt voor janken over tekortkomingen, of service-ervaringen.

mod: verplaatst naar apart topic

 

[Unit106]

Dit is natuurlijk wel een ernstig probleem, beide voor Tesla en de leasemaatschappij, maar is niet zo relevant voor het topic "superchargers in Nederland." Eerder geschikt voor janken over tekortkomingen, of service-ervaringen.

@wooter , op zich wel interessant onderwerp. Misschien de betreffende reacties verplatsen naar een nieuw onderwerp? Hiermee kunnen we het verhaal wel blijven volgen.

Daarna mag dit bericht gearchiveerd worden

 

[horta]

@Unit106 Bijzonder dat je een disagree geeft, dit is mijn vakgebied en het is absoluut zeker een datalek. Waarom denk je van niet?

 

[Unit106]

@Unit106 Bijzonder dat je een disagree geeft, dit is mijn vakgebied en het is absoluut zeker een datalek. Waarom denk je van niet?

Omdat je hiermee de indruk aan het wekken bent dat er iets verkeerd is aan het superchargen. De fout zit niet in het superchargen. Het superchargen is in feite maar een dom proces (koppeling laad transactie en vin nummer).

Het gaat hier om de koppeling tussen Vin nummers en Tesla account. En aan het Tesla account hangt een credit card. Vervolgens worden alle kosten ten laste gelegd aan de gekoppelde accounts. Niet alleen het supercharger gebruik maar ook andere kosten zoals abonnementen.

 

[horta]

Dan lees je mijn bericht volkomen verkeerd, ik weet niet hoe je dat uit mijn bericht kunt halen. Het verkeerd koppelen is een datalek. Niets meer en niets minder. Ik heb het helemaal nergens over superchargen. Sterker nog, ik schrijf zelfs dat het een datalek is dat veroorzaakt wordt door de leasemaatschappij.

Ik snap ook echt niet hoe je het verkeerd kunt lezen.

 

[Mars2020]

Omdat je hiermee de indruk aan het wekken bent dat er iets verkeerd is aan het superchargen. De fout zit niet in het superchargen. Het superchargen is in feite maar een dom proces (koppeling laad transactie en vin nummer).

Het gaat hier om de koppeling tussen Vin nummers en Tesla account. En aan het Tesla account hangt een credit card. Vervolgens worden alle kosten ten laste gelegd aan de gekoppelde accounts. Niet alleen het supercharger gebruik maar ook andere kosten zoals abonnementen.

Het datalek heeft inderdaad niets te maken met superchargen. Door de supercharge sessie is topic starter er bij toeval achter gekomen dat er administratief iets niet klopte.
Nu heeft een datalek vaker niets te maken met het “eindproduct” maar wel met de administratieve systemen daar omheen. Al met al zou ik het ook zien als een data lek.
Nu is dit een incidenteel geval denk ik en geen structurele fout of een fout waar heel veel personen bij benadeeld zijn. Ik denk dan ook dat de impact voor Tesla/Leasemaatschappij beperkt blijft.

 

[horta]

Om een misverstand uit de wereld te ruimen: een datalek bij 1 persoon is nog steeds een datalek met meldplicht.

 

[Jkr85]

Om een misverstand uit de wereld te ruimen: een datalek bij 1 persoon is nog steeds een datalek met meldplicht.

Ter vermijding van misverstanden: een meldplicht is er niet altijd (gelukkig maar), alleen bij een ernstig datalek, een mail met persoonsgegevens aan een andere dan bedoelde geadresseerde zenden komt vaak voor maar is meestal niet meldplichtig.

Of het koppelen van twee auto’s op een account er wel zo een is, is mij niet direct duidelijk.
https://autoriteitpersoonsgegevens....oorbeeldlijst_wel_niet_melden_datalek_def.pdf

 

[horta]

Creditcard is voldoende want is een persoonsgegeven. Het is vergelijkbaar met het overzicht van de bank waar de gegevens aan de verkeerde zijn gestuurd. Verder is het hele gebeuren op een persoon herleidbaar, zie Onbekende supercharger sessie in overzicht en dus per definitie een datalek van persoonsgegevens.

 

[Unit106]

Creditcard is voldoende want is een persoonsgegeven. Het is vergelijkbaar met het overzicht van de bank waar de gegevens aan de verkeerde zijn gestuurd. Verder is het hele gebeuren op een persoon herleidbaar, zie Onbekende supercharger sessie in overzicht en dus per definitie een datalek van persoonsgegevens.

Topic starter ziet gegevens van een andere auto, niet van een persoon. Van deze auto ziet hij o.a. de locatie en de supercharge sessies. Topic starter ziet in zijn account alleen zijn eigen credit card.

De berijder van de andere auto ziet niets en heeft niets. Heeft geen inzicht in gegevens van zijn auto en al helemaal niet in de gegevens van topic starter.